分层是一种众所周知的安全策略。通过使用层,我们增加了穿透的难度并减少了出现故障带来的影响。
以下是将分层安全应用于通用客户端设备(uCPE)部署的一些准则。uCPE层包括平台层(管理、虚拟化和网络),应用层以及管理和编排(MANO)层。
uCPE由在标准操作系统上运行的软件虚拟网络功能(VNF)组成,该系统托管在标准服务器上。理想的uCPE部署应支持多厂商多组件构建,强调多层安全的需求。
平台层安全:管理
平台层为其他安全层提供基础,以下是保护平台管理所需的功能:
平台层安全:虚拟化层和VNF
接下来是平台的虚拟化层,包括VNF。这里假设VNF正在虚拟机(VM)中运行,这很大程度上也适用于集装箱。
下述要求可以防止VNF逃脱,即保护VNF不受彼此影响:
下述要求可防止恶意管理系统连接到管理程序:
平台层安全 - 网络和物理
接下来是确保网络安全的要求:
应用程序层安全
安全平台的重点是托管VNF以构建服务。需要确保VNF支持的服务的安全性:
MANO层安全
在MANO层提供安全性的要求包括:
把所有结合起来
服务提供商希望通过组装基于uCPE部署模型的多厂商系统来获得云的优势。通过执行上面列出的要求,他们可以最大限度地利用这些优势,同时最大限度地减少安全威胁。